Trojaner-Board - Bitte mein logfile überprüfen!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte mein logfile überprüfen! (https://www.trojaner-board.de/12218-bitte-logfile-ueberpruefen.html)

Bitte mein logfile überprüfen!

Code:

Logfile of HijackThis v1.99.0

Scan saved at 19:47:39, on 15.01.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\G DATA Windows XP Styler\StyleXPService.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Norton Internet Security\ISSVC.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\GEARSec.exe

C:\WINDOWS\system32\msupd4.exe

C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe

C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe

C:\Programme\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

D:\Sicherheit\hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.at/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - 

C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
 O2 - BHO: (no name) - {B5FDBF0F-0542-F57B-24EE-BC1CE5C6C0B9} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz

O4 - HKCU\..\Run: [STYLEXP] C:\Programme\G DATA Windows XP Styler\StyleXP.exe -Hide

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {54DAD620-CF34-48A7-9504-61720F17B92C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {54DAD620-CF34-48A7-9504-61720F17B92C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105705067481

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe

O23 - Service: Miscrosoft Updates Service 4 - Unknown - C:\WINDOWS\system32\msupd4.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: StyleXPService - Unknown - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Ich bekomm es einfach nicht hin diesen Eintrag (den rot markierten Teil) aus dem Register zu löschen.

Dieser Eintrag ist laut Logfileauswertung unnötig.

Vielen dank für eure Hilfe!

hi
bitte überprüfe die folgende(n) datei(en) mit dem Jotti onlinescan,

Zitat:

C:\WINDOWS\system32\msupd4.exe

ergebnis hier posten.(sollte so aussehen)
Service load: 0% 100%
File: ibprocman.zip
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: UPX

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.44 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (0.66 seconds taken)
mks_vir No viruses found (0.36 seconds taken)
NOD32 No viruses found (0.48 seconds taken)
Norman Virus Control No viruses found (0.55 seconds taken)

deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von windows win95 win98/ME win2000 winxp und fixe mit HijackThis die nachfolgenden einträge

O2 - BHO: (no name) - {B5FDBF0F-0542-F57B-24EE-BC1CE5C6C0B9} - (no file)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {54DAD620-CF34-48A7-9504-61720F17B92C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {54DAD620-CF34-48A7-9504-61720F17B92C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

Hab ich alles schon probiert hilft leider nichts!

Die anderen 2 Einträge sind nicht so tragisch.

Wenn ich es mit hijack this im abgesicherten modus fixe dann erscheint nur ein weisser Hintergrund und nichts passiert.

Hier das ergebnis von jotti

Service load: 0% 100%

File: msupd4.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir Heuristic/Trojan.Downloader (probable variant) (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.32 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web Trojan.DownLoader.1373 (0.61 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.gn (0.64 seconds taken)
mks_vir Trojan.Downloader.Agent.Gn (0.20 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.58 seconds taken)

hi

was bringt der jotti onlinscan für ein ergebnis !?

Zitat:

Zitat von Passat2002

hi

was bringt der jotti onlinscan für ein ergebnis !?

Service load: 0% 100%

File: msupd4.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir Heuristic/Trojan.Downloader (probable variant) (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.32 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web Trojan.DownLoader.1373 (0.61 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.gn (0.64 seconds taken)
mks_vir Trojan.Downloader.Agent.Gn (0.20 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.58 seconds taken)

Schick die Dateien mal bitte zu partytime-germany.ice@web.de

Danke!

hi
entschuldige, hat etwas länger gedauert :o

datenträgerbereinigung durchführen -> mit clearprog oder ccleaner links zu den progis, oder nach dieser anleitung

deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von windows win95 win98/ME win2000 winxp und fixe mit HijackThis die nachfolgenden einträge
O2 - BHO: (no name) - {B5FDBF0F-0542-F57B-24EE-BC1CE5C6C0B9} - (no file)

HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei

Zitat:

C:\WINDOWS\system32\msupd4.exe

, nun antwortest du auf die frage zum neustart mit JA

bho demon downloaden und installieren, starten und wenn 02 immer noch vorhanden eliminieren.

neues logfile hier posten

Zitat:

deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von windows win95 win98/ME win2000 winxp und fixe mit HijackThis die nachfolgenden einträge

lässt sich leider nicht löschen.

Zitat:

bho demon downloaden und installieren, starten und wenn 02 immer noch vorhanden eliminieren.

lässt sich leider nicht löschen.

hi ist die C:\WINDOWS\system32\msupd4.exe schon weg ?

führe einen scan mit escan (meine beschreibung) durch
[quote]
lege diesen ordner c:\bases an
download von escan in diesen ordner
entpacke das *zip file mwav.zip hier in diesem ordner
wenn der pfad nicht genau so angegeben wird, funktioniert der scanner nicht!
mache ein update, indem du die datei kavupd.exe startest
wechsle in den abgesicherten modus von windows
öffne nun den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.exe, wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
nun öffnest du mit dem editor, die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein

http://img8.exs.cx/img8/9665/infected6xz.gif

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten :)

Zitat:

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

Achtung auf die einstellung, es soll die ganze platte überprüft werden

Zitat:

Zitat von *Christian*

Schick die Dateien mal bitte zu partytime-germany.ice@web.de

Danke!

Hab das logfile geschickt.

danke

hi
christian braucht nicht das logfile, sondern die datei :kloppen:

Ach, das Log wurde auch bearbeitet. :blabla:

Hier nun das mwav.log!

Sun Jan 16 10:31:16 2005 => Total Number of Files Scanned: 14757
Sun Jan 16 10:31:16 2005 => Total Number of Virus(es) Found: 1
Sun Jan 16 10:31:16 2005 => Total Number of Disinfected Files: 0

Sun Jan 16 10:28:52 2005 => Scanning File C:\WINDOWS\system32\KILLAPPS.EXE
Sun Jan 16 10:28:52 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

KILLAPPS.EXE gehört angeblich zu Creative!

Übrigens DANKE an Passat 2002 und Christian für eure schnelle Hilfe.

Die msupd4.exe hatte ich schon mit "hijack this" gefixt.